Aller au contenu principal

Plateformes web

IA et téléphonie

sur mesure

MEMORA solutions

Retour en haut

Charte d'utilisation responsable de l'IA

Nous croyons qu'une intelligence artificielle utile est d'abord une intelligence artificielle responsable. Cette charte énonce nos engagements concrets en la matière.

Manifeste humain + IA : derrière chaque livrable MEMORA, ce sont des humains qui travaillent en étroite collaboration avec l’IA. L’IA amplifie nos capacités ; nos décisions, notre jugement et notre sens critique donnent toute la valeur au résultat. Lire notre approche IA complète.

Nos cinq principes directeurs

Transparence

Nous informons clairement les utilisateurs lorsqu'un système d'IA est utilisé dans une interaction ou un traitement.

Équité

Nous veillons à ce que nos systèmes d'IA n'entraînent pas de discriminations injustifiées fondées sur des caractéristiques personnelles.

Responsabilité

Nous assumons pleinement les décisions produites ou assistées par l'IA dans le cadre de nos services.

Protection de la vie privée

Les renseignements traités par l'IA bénéficient de la même rigueur de protection que tous les autres renseignements personnels.

Supervision humaine

Toute décision significative pour une personne fait l'objet d'une supervision humaine active.

Nos engagements envers nos clients

  • Vous informer clairement lors d'une interaction avec un système d'IA.
  • Superviser humainement toute décision significative.
  • Offrir un recours humain sur simple demande.
  • Protéger les renseignements personnels avec des mesures techniques et organisationnelles appropriées.

Cadre de gouvernance

  • Un responsable de la protection des renseignements personnels (RPRP) est nommé et accessible.
  • Un comité IA se réunit mensuellement pour évaluer les usages et les risques.
  • Tout nouvel outil ou usage d'IA doit suivre une procédure d'approbation rigoureuse.
  • Cette charte est révisée annuellement pour refléter l'évolution des pratiques et des attentes.

Formation et AI literacy (article 4 du Règlement IA)

L’article 4 du Règlement (UE) 2024/1689 sur l’intelligence artificielle (« EU AI Act »), en application depuis le 2 février 2025, impose aux fournisseurs et déployeurs de systèmes d’IA de garantir un niveau suffisant de littératie en IA pour leur personnel et leurs partenaires. MEMORA solutions inc. respecte cette obligation par un plan de formation structuré en 4 niveaux.

Plan de formation MEMORA — 4 niveaux

  • Niveau 1 — Fondamentaux IA (2 h) : tous les employés. Concepts de base, éthique, biais, hallucinations, IA générative.
  • Niveau 2 — Utilisation responsable (4 h) : utilisateurs IA quotidienne. Bonnes pratiques chatbot Léo, anti-fuite données, vérification factuelle.
  • Niveau 3 — Déploiement et supervision (8 h) : responsables produits/projets IA. EFVP (Loi 25 art. 27), AIA (ISO 42005), red teaming, journaux IA (AI Act art. 19).
  • Niveau 4 — Gouvernance et conformité (16 h) : direction et RPRP. Triple verrou Loi 25 + RGPD + AI Act, registre IA Annexe F, gestion incidents IA, communication CAI.

Traçabilité et registre

Toutes les formations IA suivies par les membres de l’équipe MEMORA et nos consultants externes sont consignées dans un registre interne, conservé 5 ans conformément à la Loi 25 (RLRQ c. P-39.1, art. 3.1). Une attestation signée est délivrée à chaque participant. Le plan est revu annuellement (référence : ISO/IEC 42001 et NIST AI RMF).

Engagement client

MEMORA recommande à ses clients PME québécois et européens de mettre en place leur propre plan de formation AI literacy. Sur demande à ethique@memora.ca, nous pouvons partager notre cadre méthodologique simplifié et nos modèles d’attestation.

Pratiques d'IA strictement prohibées (article 5 du Règlement IA)

L’article 5 du Règlement (UE) 2024/1689 interdit certaines pratiques d’intelligence artificielle jugées inacceptables. Ce texte est entré en vigueur le 2 février 2025.

  • Manipulation subliminale ou techniques trompeuses ;
  • Exploitation des vulnérabilités liées à l’âge, au handicap ou à la situation socio-économique ;
  • Notation sociale (« social scoring ») par des autorités publiques ou des entités privées ;
  • Évaluation du risque de criminalité fondée uniquement sur le profilage ;
  • Reconnaissance faciale par moissonnage non ciblé d’images provenant d’Internet ou de systèmes de vidéosurveillance (CCTV) ;
  • Inférence d’émotions sur le lieu de travail ou dans les établissements scolaires, sauf pour des raisons médicales ou de sécurité ;
  • Catégorisation biométrique visant à déduire la race, les opinions politiques, l’orientation sexuelle ou la religion ;
  • Identification biométrique à distance en temps réel dans l’espace public à des fins répressives, sauf exceptions strictement encadrées.

Engagement MEMORA : MEMORA solutions s’interdit formellement ces huit pratiques et impose la même interdiction à l’ensemble de ses sous-traitants et partenaires technologiques.

Signaler un manquement : tout manquement à ces interdictions peut être signalé par courriel à ethique@memora.ca en précisant la mention « alerte article 5 ».

Politique de marquage des contenus générés par IA

MEMORA s’engage publiquement à marquer clairement tout contenu généré ou substantiellement assisté par intelligence artificielle, anticipant ainsi l’entrée en vigueur du Règlement européen sur l’IA (AI Act) prévue en août 2026.

Ce que MEMORA marque visuellement comme contenu IA

  • Réponses du chatbot Léo (déjà identifié dans la section 6 de notre politique de confidentialité)
  • Articles de blogue substantiellement rédigés avec assistance IA (transparence éditoriale)
  • Images et vidéos générées par IA dans nos communications
  • Comptes rendus de rencontres clients produits avec l’assistance d’une IA de prise de notes (voir section dédiée ci-dessous)

Ce que MEMORA ne fait jamais

  • Deepfake d’une personne sans consentement écrit
  • Manipulation d’image cliente sans divulgation claire
  • Présentation d’un contenu IA comme étant produit par un humain

Notre engagement de transparence garantit que tout contenu IA est identifiable par un lecteur humain en moins de 5 secondes, jamais caché en pied de page.

Pour toute découverte de contenu IA non marqué, écrivez à ethique@memora.ca.

IA et prise de notes lors de nos rencontres clients (Google Meet)

Lors de nos rencontres en visioconférence (principalement Google Meet, parfois Microsoft Teams ou Zoom), nous activons une fonctionnalité d’IA de prise de notes en temps réel. Cette assistance nous permet de demeurer pleinement attentifs à votre propos plutôt que de prendre des notes à la main, et de vous transmettre rapidement un compte rendu structuré après la rencontre.

Ce que nous utilisons

  • Outil principal : Google Meet (fonctionnalité « Prise de notes par Gemini ») – fournisseur Google LLC (États-Unis), via notre Google Workspace organisationnel.
  • L’IA produit en direct une transcription de la rencontre et un résumé structuré (sujets abordés, décisions prises, actions à entreprendre).
  • Les notes sont rattachées au dossier client correspondant et au compte rendu qui vous est partagé.

Vos droits avant chaque rencontre (Loi 25 art. 8.1, RGPD art. 13, AI Act art. 50)

  • Nous vous informons systématiquement avant le début de la rencontre que la prise de notes IA sera activée, et nous attendons votre consentement explicite ;
  • Vous pouvez refuser sans aucun impact sur la qualité du service ni sur la suite de notre relation ;
  • Vous pouvez demander la désactivation de la fonctionnalité à tout moment pendant la rencontre ;
  • Le résumé qui vous est transmis est explicitement marqué « généré avec l’assistance d’une IA » (conformité art. 50 du Règlement IA).

Comment nous protégeons vos données

  • Aucune donnée n’est utilisée pour entraîner les modèles d’IA de Google (option contractuelle Workspace activée) ;
  • Transferts vers les États-Unis encadrés par les clauses contractuelles types (CCT) de la Commission européenne et le cadre Data Privacy Framework (DPF) ;
  • Conservation des transcriptions et résumés : 12 mois maximum, puis suppression automatique. Suppression anticipée sur demande à rprp@memora.ca ;
  • Accès strict aux personnes affectées au dossier (revue annuelle des droits d’accès par le RPRP).

Pour toute question, ou pour demander un compte rendu manuscrit « sans IA » : rprp@memora.ca.

Étiquette IA — chatbot Léo (AI Nutrition Label)

Cette étiquette vise à renforcer la transparence conformément aux principes du Stanford CRFM Foundation Model Transparency Index et à l’article 52 du règlement européen sur l’intelligence artificielle (AI Act). Elle est mise à jour à chaque changement substantiel du modèle sous-jacent.

Caractéristique Information
Nom du système Léo (chatbot conversationnel d’aide aux PME)
Fournisseur du modèle OpenAI (GPT-4o) via API officielle
Données d’entraînement Corpus public OpenAI (web public, livres, code) jusqu’à octobre 2023. AUCUNE donnée client MEMORA n’est utilisée pour réentraîner le modèle.
Capacités principales Répondre aux questions sur la Loi 25, le RGPD et l’AI Act, fournir des recommandations en matière de conformité, orienter vers les services de MEMORA.
Limites connues Peut halluciner sur des faits récents, ne remplace pas un conseil juridique humain, contexte de conversation limité à la session.
Risques identifiés Génération d’information erronée (mitigation : disclaimer + supervision RPRP), divulgation de prompt manipulé (mitigation : filtres anti-injection).
Garde-fous actifs Journalisation des conversations 30 jours, modération OpenAI, message d’avertissement permanent, escalade vers un humain sur demande.
Évaluation et tests Red-teaming trimestriel, audit des biais semestriel par le RPRP, conformité à la norme ISO/IEC 42001.
Dernière mise à jour 1er mai 2026 (modèle GPT-4o, version actuelle).

Pour toute question sur cette étiquette ou demande d’audit indépendant : ethique@memora.ca.

Cette étiquette est révisée à chaque changement majeur du modèle ou des données traitées. Sources d’inspiration : Stanford Foundation Model Transparency Index, Twilio AI Nutrition Facts, AI Act art. 52.

Journalisation et traçabilité (article 19 du Règlement IA)

L’article 19 du Règlement (UE) 2024/1689 oblige les fournisseurs et déployeurs de systèmes d’IA à haut risque à conserver les journaux au moins six mois afin de permettre les audits et l’identification d’incidents. MEMORA anticipe cette obligation pour tous ses systèmes d’IA, sans attendre une qualification formelle de haut risque. Cette politique remplace, à compter du 1er juin 2026, le délai de 30 jours mentionné dans l’étiquette IA ci-dessus.

Ce que MEMORA journalise pour Léo et systèmes IA

  • Identifiant de session (anonymisé) et horodatage ;
  • Requête utilisateur (texte du prompt) ;
  • Réponse générée par le modèle ;
  • Modèle utilisé (fournisseur, version) et paramètres clés (temperature, max_tokens) ;
  • Modération OpenAI : drapeau éventuel, catégories signalées.

Ce que MEMORA NE journalise PAS

  • Renseignements personnels identifiables hors strict nécessaire (courriel, téléphone, NAS, numéro de carte) ;
  • Métadonnées techniques inutiles (adresse IP brute, user-agent complet) ;
  • Contenu protégé par le secret professionnel (médecin, avocat, comptable) si détecté ;
  • Données après la durée de conservation maximale (purge automatique).

Durée de conservation et purge

  • 6 mois pour les journaux de conversation Léo (au-delà : suppression cryptographique automatique) ;
  • 5 ans pour les journaux de gouvernance (incidents, signalements, décisions du comité IA) – Loi 25, art. 3.1 ;
  • 24 mois pour les rapports d’audit interne et red-teaming (référence ISO/IEC 42001) ;
  • Purge automatique nocturne avec attestation cron documentée.

Accès aux logs

  • Lecture stricte par le RPRP (Stéphane Lapointe) et une personne désignée du comité IA ;
  • Aucun accès marketing, vente ou support sauf incident formel documenté ;
  • Tout accès est consigné dans un registre interne (audit-log immuable) ;
  • Sur demande Loi 25, art. 27, le RPRP peut fournir à un utilisateur ses propres journaux dans un délai de 30 jours (rprp@memora.ca).

Cette politique est révisée annuellement et auditée chaque trimestre par le RPRP. Les écarts sont consignés et corrigés selon les principes de la norme ISO/IEC 42001.

Surveillance après mise sur le marché (article 72 du Règlement IA)

L’article 72 du Règlement (UE) 2024/1689 impose aux fournisseurs de systèmes d’intelligence artificielle à haut risque une surveillance continue de leur performance, de leurs risques et des incidents survenant après leur mise sur le marché. Bien que MEMORA agisse comme déployeur – et non comme fournisseur – du modèle GPT-4o utilisé par Léo, elle s’engage volontairement à appliquer un système de surveillance après mise sur le marché (« Post-Market Monitoring » ou PMM), même si Léo n’est pas formellement classé comme système à haut risque. Ce cadre volontaire s’aligne sur les meilleures pratiques internationales, notamment le NIST AI Risk Management Framework et la norme ISO/IEC 42001.

Indicateurs surveillés en continu

  • Taux d’hallucination (échantillonnage hebdomadaire de 100 conversations, validation manuelle) ;
  • Taux de refus et blocages de la modération OpenAI ;
  • Latence et disponibilité (SLA de 99,5 %) ;
  • Volume de signalements utilisateur (préoccupation éthique, contenu inapproprié) ;
  • Dérive de performance (comparaison mensuelle versus baseline du trimestre précédent) ;
  • Émergence de nouveaux types de prompts à risque (red-teaming).

Cycle de revue PMM

  • Quotidien : monitoring automatisé + alertes seuils dépassés (équivalent interne de PagerDuty) ;
  • Hebdomadaire : revue de l’échantillon de 100 conversations par le RPRP et une personne du comité IA ;
  • Trimestriel : rapport interne consolidé (forces, faiblesses, plans correctifs) ;
  • Annuel : rapport public publié sur notre Trust Center (anonymisé, agrégé).

Incidents graves (article 73 du Règlement IA)

  • Définition d’un incident grave : décès, atteinte à la santé ou aux biens, atteinte aux droits fondamentaux, perturbation d’une infrastructure critique ;
  • Notification au fournisseur du modèle (OpenAI) sous 72 heures ouvrables ;
  • Notification aux autorités compétentes (Commission européenne + Commission d’accès à l’information du Québec) selon le palier de gravité ;
  • Préservation immédiate des journaux et preuves techniques (chaîne de conservation) ;
  • Communication transparente publiée sur le Trust Center dans les 30 jours suivant la confirmation de l’incident.

Mesures correctives

  • Suspension immédiate du système d’IA en cas de risque significatif (« kill-switch » documenté) ;
  • Notification proactive aux utilisateurs affectés (Loi 25, articles 3.5 et 3.7) ;
  • Rétroaction au fournisseur du modèle pour correctif ou ajustement ;
  • Retour d’expérience documenté dans le registre IA (Annexe F du livre L’IA sans se faire poursuivre).

Pour signaler un incident ou une préoccupation liée à Léo : ethique@memora.ca, avec la mention « incident article 73 ». Le RPRP accuse réception sous 24 heures et déclenche la procédure PMM.

Transparence sur les données d’entraînement (articles 50 et 53 du Règlement IA)

MEMORA est déployeur du modèle GPT-4o fourni par OpenAI L.L.C., et non fournisseur du modèle au sens du Règlement IA. À ce titre, l’obligation de publier un résumé des données d’entraînement (art. 53) incombe à OpenAI, qui le publie sur sa page de transparence officielle. MEMORA s’engage néanmoins à une transparence proactive sur la chaîne complète, conformément à l’art. 50(3).

Ce que MEMORA ne fait PAS

  • MEMORA n’entraîne aucun modèle d’IA propriétaire à partir des conversations Léo ni des données client.
  • Aucune donnée client ni conversation Léo n’est transmise à OpenAI pour réentraîner GPT-4o.
  • L’option « Zero Data Retention » de l’API OpenAI Enterprise est activée pour le compte MEMORA (validation contractuelle).
  • Aucune donnée n’est partagée avec des tiers à des fins d’apprentissage automatique sans consentement écrit explicite.
  • Aucun fine-tuning n’est appliqué avec des données identifiables d’un client de MEMORA.

Ce que OpenAI utilise (résumé public)

  • Corpus public sur le web (sites accessibles librement avant la date de coupure) ;
  • Livres et publications sous licence ou dans le domaine public ;
  • Code source public disponible sur les forges ouvertes ;
  • Données fournies volontairement par des partenaires sous accord (programme officiel OpenAI Data Partnerships) ;
  • Date de coupure des données d’entraînement : octobre 2023 pour GPT-4o.

Pour le détail complet et à jour, consulter openai.com/transparency.

Protection des droits d’auteur (clients et tiers)

  • Si vous estimez qu’un contenu protégé par droits d’auteur dont vous êtes titulaire a été utilisé pour entraîner un modèle d’IA tiers, MEMORA n’a pas le contrôle direct sur l’entraînement, mais peut relayer votre demande au fournisseur (OpenAI) sous 5 jours ouvrables.
  • Pour exercer un droit d’opposition au traitement automatique au sens du RGPD art. 21 : adresser la demande à rprp@memora.ca avec la mention « opposition art 21 RGPD ».
  • MEMORA respecte les directives du Comité européen de la protection des données (EDPB) Recommendations 1/2023 sur les modèles fondationaux.
  • Pour les contenus générés par Léo : ces contenus appartiennent à l’utilisateur ayant formulé la requête (sous réserve des CGU OpenAI applicables au modèle sous-jacent).

Pour aller plus loin

Signaler une préoccupation éthique

Si vous constatez un écart à cette charte ou une préoccupation éthique liée à notre usage de l'IA, écrivez-nous à : ethique@memora.ca. Nous accusons réception dans les 48 heures et traitons votre signalement dans un délai de 30 jours.

Voir aussi

Pour la liste complète de nos sous-traitants (sub-processors), notre registre public d'incidents et notre rapport de transparence, consultez notre Trust Center.

Engagement public

Cette charte s'inspire directement de l'Annexe E « Template de charte IA interne » du livre L'IA sans se faire poursuivre de Stéphane Lapointe (2026). Elle traduit notre volonté de transparence réelle - pas seulement de discours - et sera mise à jour chaque année.

Pour comprendre vos droits face à une décision automatisée prise par l'un de nos systèmes, consultez la page dédiée : Droit à l'explication des décisions automatisées (Loi 25 art. 12.1, RGPD art. 22, AI Act art. 86).

Contact éthique : ethique@memora.ca

Dernière mise à jour : 1er mai 2026. Prochaine révision : avril 2027.

Parlons! Appeler
Gagnez du temps : Léo vous guide.